ประกาศข่าวสารด้านความปลอดภัยของ Android เดือนพฤศจิกายน 2024

เผยแพร่เมื่อ 4 พฤศจิกายน 2024

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของ 05-11-2024 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูตรวจสอบและอัปเดตเวอร์ชัน Android

พาร์ทเนอร์ Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อนการเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บข้อมูลโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวสารนี้แล้ว กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์นอก AOSP ด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยระดับสูงในคอมโพเนนต์ของระบบ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลโดยไม่จำเป็นต้องมีสิทธิ์เรียกใช้เพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบจากการแสวงหาประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยเมื่อมีการปิดแพลตฟอร์มและบริการที่มีการผ่อนปรนชั่วคราวเพื่อจุดประสงค์ในการพัฒนาหรือหากข้ามสำเร็จ

ดูรายละเอียดเกี่ยวกับการปกป้องแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการผ่อนปรนชั่วคราวใน Android และ Google Play Protect

การลดผลกระทบต่อบริการ Android และ Google

นี่คือสรุปการลดความเสี่ยงจากแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้จะลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android

  • การใช้ประโยชน์จากปัญหาหลายอย่างบน Android ทำได้ยากขึ้นด้วยการเพิ่มประสิทธิภาพแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

ระดับแพตช์ความปลอดภัย 01-11-2024 รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-11-2024 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง รวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึงการอัปเดตระบบ Google Play

เฟรมเวิร์ก

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-40660 A-347307756 [2] EoP สูง 14, 15
CVE-2024-43081 A-341256043 EoP สูง 12, 12L, 13, 14, 15
CVE-2024-43085 A-353712853 EP สูง 12, 12L, 13, 14, 15
CVE-2024-43093 A-341680936 EoP สูง 12, 13, 14, 15
CVE-2024-43082 A-296915959 รหัส สูง 12 ลิตร
CVE-2024-43084 A-281044385 รหัส สูง 12, 12L, 13, 14, 15
CVE-2024-43086 A-343440463 รหัส สูง 12, 12L, 13, 14, 15

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทําให้เกิดการดําเนินการโค้ดจากระยะไกลโดยที่ไม่ต้องได้รับสิทธิ์การดําเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-43091 A-344620577 RCE สูง 12, 12L, 13, 14, 15
CVE-2024-29779 A-329701910 EoP สูง 14
CVE-2024-34719 A-242996380 EoP สูง 12, 12L, 13, 14
CVE-2024-40661 A-308138085 EP สูง 12, 12, 13, 14
CVE-2024-43080 A-330722900 EP สูง 12, 12L, 13, 14, 15
CVE-2024-43087 A-353700779 EoP สูง 12, 12, 13, 14, 15
CVE-2024-43088 A-326057017 EP สูง 12, 12L, 13, 14, 15
CVE-2024-43089 A-304280682 EoP สูง 12, 12L, 13, 14, 15
CVE-2024-43090 A-331180422 รหัส สูง 12, 12L, 13, 14
CVE-2024-43083 A-348352288 DoS สูง 12, 12, 13, 14, 15

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ Project Mainline

องค์ประกอบย่อย CVE
UI เอกสาร CVE-2024-43093
MediaProvider CVE-2024-43089
ตัวควบคุมสิทธิ์ CVE-2024-40661
Wi-Fi CVE-2024-43083

2024-11-05 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 05-11-2024 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง รวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องรายการเดียว การอ้างอิงเพิ่มเติมจะลิงก์กับตัวเลขที่ตามหลังรหัสข้อบกพร่อง

เคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง คอมโพเนนต์ย่อย
CVE-2024-36978 A-349777785
เคอร์เนลจาก upstream [2]
EP สูง สุทธิ
CVE-2024-46740 A-352520660
เคอร์เนลจาก upstream [2] [3] [4] [5] [6] [7] [8]
EP สูง แฟ้ม

เคอร์เนล LTS

มีการอัปเดตเคอร์เนลเวอร์ชันต่อไปนี้ การอัปเดตเวอร์ชันเคอร์เนลจะขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการ Android ณ เวลาที่เปิดตัวอุปกรณ์

ข้อมูลอ้างอิง เวอร์ชันการเปิดตัว Android เวอร์ชันเปิดตัวเคอร์เนล เวอร์ชันการอัปเดตขั้นต่ำ
A-348473863 12 5.4 5.4.274
A-348681334 12 4.19 4.19.312

Imagination Technologies

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Imagination Technologies และคุณดูรายละเอียดเพิ่มเติมได้จาก Imagination Technologies โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Imagination Techologies โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2024-34747
A-346643520 * สูง PowerVR-GPU
CVE-2024-40671
A-355477536 * สูง PowerVR-GPU

Imagination Technologies

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Imagination Technologies และคุณดูรายละเอียดเพิ่มเติมได้จาก Imagination Technologies โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Imagination Techologies โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2023-35659
A-350006107 * สูง PowerVR-GPU
CVE-2023-35686
A-350527097 * สูง PowerVR-GPU
CVE-2024-23715
A-350530745 * สูง PowerVR-GPU
CVE-2024-31337
A-337944529 * สูง PowerVR-GPU
CVE-2024-34729
A-331437862 * สูง PowerVR-GPU

คอมโพเนนต์ MediaTek

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ MediaTek และคุณดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก MediaTek โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2024-20104
A-363850556
M-ALPS09073261 *
สูง DA
CVE-2024-20106
A-363849996
M-ALPS08960505 *
สูง m4u

คอมโพเนนต์ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และมีรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยของ Qualcomm ที่เกี่ยวข้อง Qualcomm จะเป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2024-21455
A-357616450
QC-CR#3839449 [2]
QC-CR#3875202 [2]
สูง เคอร์เนล
CVE-2024-38402
A-364017423
QC-CR#3890158
สูง เคอร์เนล
CVE-2024-38405
A-357615761
QC-CR#3754687
สูง WLAN
CVE-2024-38415
A-357616194
QC-CR#3775520 [2]
สูง กล้อง
CVE-2024-38421
A-357616018
QC-CR#3793941
สูง จอแสดงผล
CVE-2024-38422
A-357616000
QC-CR#3794268 [2] [3]
สูง เสียง
CVE-2024-38423
A-357615775
QC-CR#3799033
สูง จอแสดงผล
CVE-2024-43047
A-364017103
QC-CR#3883647
สูง เคอร์เนล

คอมโพเนนต์แบบโคลสซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบซอร์สโค้ดปิดของ Qualcomm และอธิบายไว้อย่างละเอียดในกระดานข่าวสารด้านความปลอดภัยหรือคำเตือนด้านความปลอดภัยของ Qualcomm Qualcomm จะเป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2024-38408
A-357615875 * วิกฤต คอมโพเนนต์แบบปิด
CVE-2024-23385
A-339043003 * สูง คอมโพเนนต์แบบโคลสซอร์ส
CVE-2024-38403
A-357615948 * สูง คอมโพเนนต์แบบโคลสซอร์ส
CVE-2024-38424
A-357616230 * สูง คอมโพเนนต์แบบโคลสซอร์ส

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูตรวจสอบและอัปเดตเวอร์ชัน Android

  • ระดับแพตช์ด้านความปลอดภัยของวันที่ 1-11-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 1-11-2024
  • ระดับแพตช์ความปลอดภัยของวันที่ 5-11-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 5-11-2024 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น

  • [ro.build.version.security_patch]:[2024-11-01]
  • [ro.build.version.security_patch]:[2024-11-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-11-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยในบทความนี้

2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ

กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 01-11-2024 ต้องระบุปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานไว้ในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
  • อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับ 2024-11-05 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)

เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในอัปเดตเดียว

3. รายการในคอลัมน์ประเภทหมายถึงอะไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การดำเนินการกับโค้ดจากระยะไกล
EoP การยกระดับสิทธิ์
รหัส การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

4. รายการในคอลัมน์ข้อมูลอ้างอิงหมายถึงอะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าข้อมูลอ้างอิง

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิงของ NVIDIA
B- หมายเลขอ้างอิงของ Broadcom
U- หมายเลขอ้างอิง UNISOC

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์ข้อมูลอ้างอิงหมายความว่าอย่างไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างๆ รหัสข้อมูลอ้างอิงที่เกี่ยวข้อง โดยทั่วไปการอัปเดตสำหรับปัญหานั้นจะอยู่ในไดรเวอร์ไบนารีล่าสุดของอุปกรณ์ Pixel ที่มีให้จากเว็บไซต์ Google Developers

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกระหว่างกระดานข่าวสารนี้กับกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ เช่น กระดานข่าวสารของ Pixel

ช่องโหว่ด้านความปลอดภัยที่ระบุในกระดานข่าวสารด้านความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ไม่จำเป็นต่อการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google, Huawei, LGE, Motorola, Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 4 พฤศจิกายน 2024 เผยแพร่กระดานข่าวสารแล้ว